Regolamento per il trattamento del Sistema d informazione KPT/CPT (Secondo l art. 21 OLPD e art. 84b LAMal) Versione 2.0 22.01.2013 01.01.2012 CPT 1
Sommario 1. Situazione di partenza...3 2. Contenuto...3 3. Sistema delle unità organizzative in questione (Organo responsabile della gestione del sistema Sistemi periferici)....4 3.1 Descrizione delle interfacce per l elaborazione dei dati personali degni di particolare protezione...5 3.2 Provenienza dei dati...6 3.3 Destinatari dei dati...6 3.4 Scopo della trasmissione dei dati...7 3.5 Ampiezza della trasmissione di dati...7 3.6 Periodicità della trasmissione dei dati...7 3.7 Generatore della trasmissione dei dati...7 3.8 Mezzo di trasmissione dei dati...7 4. Organigramma dell organo responsabile della gestione del sistema (orgs)...8 5. Responsabilità...8 6. Documentazione della realizzazione e la gestione della collezione dei dati...9 7. Registrazione della collezione dei dati all IFPDT...9 8. Documentazione di processo del Sistema d informazione KPT/CPT...9 9. Procedura di controllo nonché misure tecniche e organizzative ai sensi dell art. 20 dell OLPD...9 9.1 Controllo d entrata, controllo dei supporti dei dati, controllo della memoria, controllo d accesso...9 9.2 Controllo del trasporto... 10 9.3 Controllo della... 11 9.4 Controllo dell utilizzazione... 11 9.5 Controllo dell introduzione (aggiornamento)... 11 10. Descrizione dei campi dei dati e delle unità organizzative che hanno accesso alla collezione dei dati... 12 11. Modo ed estensione dell accesso degli utenti alla collezione dei dati... 12 12. Formazione degli utenti della collezione dei dati... 12 13. Procedure di trattamento dei dati, di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati... 13 14. Configurazione dei mezzi informatici... 13 15. Procedura di esercizio del diritto d accesso... 13 16. Pubblicazione... 14 17. Ulteriori documenti... 14 ALLEGATO: Processo dell elaborazione automatizzata dei dati del Sistema d informazione KPT/CPT 01.01.2012 CPT 2
1. Situazione di partenza La KPT Cassa malati SA è proprietaria del Sistema di informazione KPT/CPT per la collezione automatizzata dei dati registrato presso l incaricato federale della protezione dei dati e della trasparenza (IFPDT), che contiene dati personali degni di particolare protezione e di profili della personalità. La collezione dei dati ha come obiettivo la realizzazione e l attuazione dell assicurazione malattia e infortuni nel settore dell assicurazione obbligatoria delle cure medico-sanitarie e delle assicurazioni malattie complementari ai sensi della LCA. In applicazione dell art. 11 nonché dell art. 21 dell Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD) è richiesto che per la collezione dei dati sia elaborato un regolamento per il trattamento. A detta dell art. 84b della Legge federale sull assicurazione malattie il regolamento deve essere sottoposto per valutazione all IFPDT e l accesso a esso deve essere pubblico. 2. Contenuto Questo regolamento per il trattamento descrive in maniera particolare il procedimento di elaborazione dei dati e il processo di controllo nonché la gestione del sistema d informazione KPT/CPT. Inoltre, il regolamento contiene le indicazioni necessarie (art. 16 OLPD) per l obbligo di notifica, nonché le indicazioni relative all organo responsabile della protezione dei dati e la sicurezza dei dati, la provenienza dei dati, lo scopo per il quale i dati vengono comunicati regolarmente, la procedura di controllo e in particolare le misure tecniche e organizzative ai sensi dell art. 20 OLPD, la descrizione dei campi dei dati e delle unità organizzative che vi hanno accesso, il tipo e la misura dell accesso da parte degli utenti alla collezione dei dati, la procedura di elaborazione dei dati, e in particolare le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati, la configurazione dei mezzi informatici e la procedura di esercizio del diritto d accesso. Questo regolamento per il trattamento si applica anche per il servizio indipendente di ricezione dei dati, in applicazione dell art. 59a OAMal, che viene gestito internamente alla CPT. 01.01.2012 CPT 3
3. Sistema delle unità organizzative in questione (Organo responsabile della gestione del sistema Sistema circostante) Organo responsabile della gestione del sistema Sistemi periferici Modo di dei dati KPT Cassa malati SA (incl. partner esterni per la gestione IT, partner per l elaborazione dei documenti, partner per le soluzioni postali) SASIS (Santésuisse) Piattaforma di scambio dei dati Partner per i servizi di telemedicina automatizzata dei dati automatizzata dei dati automatizzata dei dati VitaClic, Online Easy AG automatizzata dei dati Partner HMO automatizzata dei dati Partner Regresso automatizzata dei dati Cantoni automatizzata dei dati / manuale dei dati per i singoli casi Assicurazioni sociali manuale dei dati nei singoli casi Autorità / Tribunali manuale dei dati nei singoli casi Assicurati Classic / Online automatizzata dei dati / manuale dei dati nei singoli casi Fornitori di prestazioni automatizzata dei dati / manuale dei dati nei singoli casi 01.01.2012 CPT 4
dpdpp = dati personali degni di particolare protezione, M = manuale, A = automatizzato Regolamento per il trattamento del Sistema d'informazione KPT/CPT La KPT Cassa malati SA gestisce il sistema e quale proprietaria della collezione automatizzata dei dati Sistema di informazione KPT/CPT, ed è anche organo responsabile della collezione dei dati. Alcune prestazioni che parzialmente includono anche l elaborazione dei dati personali, la CPT, sulla base dell art. 84 della LAMal, le ha delegate a partner esterni per la gestione dell IT, nonché a partner per l elaborazione dei documenti e le soluzioni postali. L elaborazione dei dati conforme alle esigenze della protezione dei dati nonché la sicurezza dei dati è stata regolata nei rispettivi contratti di collaborazione. Inoltre, i partner IT in parte sono certificati in adesione alle norme ISO (in particolare ISO 9001:2008 Sistema di gestione della qualità, nonché ISO/IEC 27001:2005 Sistema di gestione della sicurezza delle informazioni). Quale proprietaria della collezione dei dati la CPT rimane responsabile dell osservanza della protezione dei dati per i settori esternalizzati (art. 22 OLPD). Nell ambito della realizzazione e dello svolgimento dell assicurazione malattia e infortuni nel settore dell assicurazione obbligatoria delle cure medico-sanitarie secondo LAMal, la CPT gestisce delle interfacce con i sistemi periferici descritti al punti 3.1 segg., e riconoscibili sul precedente grafico. 3.1 Descrizione delle interfacce per l elaborazione dei dati personali degni di particolare protezione Dalla Alla Scopo Tipo di dati Periodicità Generat ore Mezzo CPT Partner HMO gatekeeping, osservanza del contratto dpdpp mensilmente, trimestralmente e annualmente A e-mail (codificato, Zip), SFTP, Sharepoint CPT Partner per i servizi di telemedicina Consulenza offerta da fornitori di prestazioni di telemedicina dpdpp Mensile A SFTP CPT VitaClic Gestione VitaClic dpdpp Giornalmente A SFTP CPT Piattaforma di scambio dei dati Elaborazione delle prestazioni LAMal dpdpp Giornalmente! / settimanalmente A SFTP Linee affittate CPT Partner Regresso Regresso dpdpp Giornalmente A SFTP CPT Cantoni RIP dpdpp A seconda del bisogno M Dischetto, e- mail, ecc. 01.01.2012 CPT 5
CPT Fornitore di prestazioni 84a LAMal varie Singolo caso M per iscritto CPT Assicurati Informazioni varie Singolo caso M Per iscritto / contatto diretto online (sicuro) CPT Autorità / Tribunali art. 82 LAMal, art. 84a LAMal varie Singolo caso M per iscritto CPT Assicurazione sociale art. 84a LAMal varie Singolo caso M per iscritto Altre interfacce senza partecipazione di dati personali degni di particolare protezione la CPT le ha con i seguenti esterni: Dalla Alla CPT Stamperia esterna CPT Mail Server partner IT CPT VEKA CPT Banca CPT Cockpit partner IT CPT Posta CPT Salariati CPT Credit Suisse CPT Telekurs CPT PostFinance CPT SASIS (Santésuisse) CPT Istituzione comune LAMal (Compensazione del rischio) CPT Partner Assistance 3.2 Provenienza dei dati La provenienza dei dati è riconoscibile dall illustrazione del processo elaborazione automatizzata dei dati Sistema d informazione KPT/CPT (Allegato). I dati provengono dai fornitori di prestazioni, dagli assicurati, da altre assicurazioni sociali, tribunali e uffici d esecuzione. 3.3 Destinatari dei dati La destinataria dei dati è la KPT Cassa malati SA. Come si riconosce dall illustrazione del Processo dell elaborazione automatizzata dei dati Sistema d informazione KPT/CPT (Allegato), documenti con indirizzo personale (principalmente documenti per la direzione e il 01.01.2012 CPT 6
medico di fiducia) giungono direttamente alla collaboratrice o al collaboratore indicato della CPT. Gli altri documenti (lettere, moduli, nonché fatture) vengono digitalizzati, strutturati e transcodificati dal partner per l elaborazione dei documenti (partner esterno) e inseriti nel sistema d informazione KPT/CPT, risp. nel workflow (flusso o procedimento di lavoro. L esatto processo della posta è descritto nel documento Processi postali CPT nonché nel Processo Documenti cartacei. Nella fatturazione nel settore stazionario, tipo DRG, il fornitore di prestazioni inoltra i dati insieme alla fattura sistematicamente con le informazioni amministrative e sanitarie giusta l articolo 59, capoverso 1, OAMal, al servizio indipendente di ricezione dei dati della CPT, secondo l art. 59a, OAMal. Il procedimento dell elaborazione dei dati presso il servizio di ricezione dei dati è stabilito nell allegato di questo regolamento. Altre descrizioni riguardanti l assegnazione alle collaboratrici o ai collaboratori di documenti scannerizzati si trovano nel documento Procedimenti sinistri nella cassa malati CPT. 3.4 Scopo della trasmissione dei dati Lo scopo della trasmissione dei dati in ogni caso è l attuazione dell assicurazione obbligatoria delle cure medico-sanitarie in applicazione della Legge federale sull assicurazione malattie (LAMal). Indicazioni più precise si possono consultare nel capitolo 3.1 Descrizione delle interfacce. 3.5 Ampiezza della trasmissione dei dati Dalla descrizione delle inserzioni (capitolo 3.1) si riconosce quali dati vengono trasmessi a quali destinatari. I dati vengono trasmessi esclusivamente allo scopo dell assistenza giudiziaria e amministrativa, ai sensi dell art. 32, cpv. 2, LPGA e art. 82 LAMal, per l informazione e la consulenza ai sensi dell art. 27 LPGA, della consultazione degli atti ai sensi dell art. 47 LPGA nonché per la dei dati ai sensi dell art. 84a, LAMal. Altre trasmissioni di dati hanno luogo solo in singoli casi su autorizzazione della persona assicurata. Inoltre, la trasmissione dei dati avviene solo rispettando i principi enunciati negli articoli 4 e seguenti della Legge federale sulla protezione dei dati (LPD). Soprattutto la trasmissione dei dati viene effettuata solo rispettando il principio dell adeguatezza e della proporzionalità. 3.6 Periodicità della trasmissione dei dati Dalla descrizione delle interfacce (capitolo 3.1) si apprende con quale periodicità vengono trasmessi i dati. 3.7 Generatore della trasmissione dei dati La trasmissione dei dati è generata a seconda dell interfaccia in maniera automatica o manuale. 01.01.2012 CPT 7
3.8 Mezzo di trasmissione dei dati Nella maggioranza dei casi la trasmissione dei dati viene effettuata per SMTP. Inoltre, i dati vengono trasmessi anche per iscritto o per messaggio elettronico codificato. Nel settore Processi dei sinistri lo scambio dei dati avviene su un interfaccia comune. I dettagli possono essere consultati nel capitolo 3.1 Descrizione delle interfacce. 4. Organigramma dell organo responsabile della gestione del sistema (orgs) Le collaboratrici e i collaboratori dei settori menzionati precedentemente hanno accesso di lettura e/o modifica al Sistema di informazione KPT/CPT in corrispondenza ai lavori lo assegnati come previsto dalla LAMal (confronta capitolo 10). 5. Responsabilità Il Comitato direttore della KPT Cassa malati SA, quale proprietario della collezione dei dati raccolti nel Sistema di informazione KPT/CPT è responsabile della protezione e della sicurezza dei dati. Esso riceve consulenza dal responsabile aziendale della protezione dei dati per quel che riguardano le questioni giuridiche relative alla protezione dei dati. Le responsabilità per settore si possono consultare nell elenco seguente. Ulteriori responsabilità del settore IT nel gestire il Sistema d informazione KPT/CPT sono disciplinate nel Documento di realizzazione Protezione dei dati. Le responsabilità in relazione alle varie componenti e parti del sistema di informazione (rete, banca dati, sistema di gestione, ecc.) sono regolate nelle descrizioni vigenti dei posti di lavoro per il settore IT. Cosa Protezione dei dati in generale, formazione, richieste di consultazione degli atti, domande di consultazione da parte di assicuratori o terzi Personale in genere, attribuzione dell autorizzazione d accesso Chi Incaricato aziendale alla protezione dei dati (IaPD) Direzione del reparto Personale / Formazione 01.01.2012 CPT 8
Dati di base dei clienti Direzione del reparto Servizio clienti / Assicurazioni speciali Dati sui sinistri Direzione del reparto Centro sinistri / Sviluppo dei procedimenti Documenti destinati al medico di fiducia Esame del rischio Sicurezza tecnica dei dati, profili d accesso Eliminazione supporti elettronici di memorizzazione Medico di fiducia Responsabile di gruppo Esame del rischio Responsabile delle applicazioni del sistema d informazione KPT/CPT Direzione del reparto IT 6. Documentazione della realizzazione e la gestione della collezione dei dati La documentazione della gestione e della realizzazione del sistema d informazione KPT/CPT viene conservata nel settore IT nonché presso i partner esterni della CPT e in caso di necessità vengono aggiornati. La gestione della collezione dei dati è disciplinata nel Manuale dell utente Sistema di informazione KPT/CPT Manuale delle prestazioni. La pianificazione e la realizzazione tecnica del sistema di informazione KPT/CPT è documentata nei Manuali aziendali. 7. Registrazione della collezione dei dati all IFPDT (art. 16 OLPD) In osservanza dell art. 11a, cpv. 5, let. e LPD, la KPT Cassa malati SA ha definito un responsabile per la protezione dei dati che sorveglia in maniera indipendente l osservanza interna delle direttive sulla protezione dei dati e gestisce la registrazione della colletta dei dati. In questo modo la CPT è esentata dall obbligo di notifica all IFPDT della colletta dei dati. 8. Documentazione di processo del Sistema d informazione KPT/CPT I processi di elaborazione dei dati del Sistema di informazione KPT/CPT si possono consultare nell illustrazione dei processi (Allegato). Per i singoli passi dell elaborazione dei dati si fa sempre riferimento ai rispettivi documenti determinanti di procedimenti interni della CPT. 9. Procedura di controllo nonché misure tecniche e organizzative ai sensi dell art. 20 dell OLPD 9.1 Controllo d entrata, controllo dei supporti dei dati, controllo della memoria, controllo d accesso Basi legali 01.01.2012 CPT 9
Secondo l art. 9, cpv. 1, lett. a, OLPD, alle persone non autorizzate non si deve concedere accesso ai locali e alle installazioni utilizzate per il trattamento dei dati personali. Secondo l art. 9, cpv. 1, lett. b, OLPD, si deve rendere impossibile alle persone non autorizzate di leggere, copiare, modificare o rimuovere i supporti dei dati. Secondo l art. 9, cpv. 1, lett. e, OLPD, alle persone non autorizzate non deve essere permesso né introdurre dati personali nella memoria né prendere conoscenza di dati memorizzati, modificarli o cancellarli. Secondo l art. 9, cpv. 1, lett. g, OLPD, le persone autorizzate hanno accesso soltanto ai dati personali di cui abbisognano per svolgere i loro compiti. Realizzazione CPT Per garantire che persone non autorizzate non entrino negli edifici della CPT, l accesso è possibile solo alle collaboratrici e ai collaboratori della CPT che sono in possesso di una chiave. Gli uffici possono essere utilizzati solo a scopi di servizio. Alle persone sconosciute non deve essere concessa l entrata all edificio. In caso di dubbio le persone devono identificarsi. Visitatrici e visitatori devono essere accolti presso la ricezione e le collaboratrici e i collaboratori della ricezione non devono lasciarli entrare nell edificio senza accompagnamento. Per motivi di sicurezza dei dati non è ammesso per principio ricevere visitatrici e visitatori a scopi privati. In casi eccezionali sarà possibile nella zona della ricezione. L accesso agli edifici della CPT è regolato nell Ordinamento interno e per l ufficio. Inoltre applicando provvedimenti adatti, la CPT garantisce che nessuna persona non autorizzata possa leggere, copiare, modificare o rimuovere dati nel Sistema di informazione KPT/CPT e che nessuna immissione non autorizzata possa essere effettuata nel sistema di memorizzazione e che non sia possibile visionare, modificare o cancellare dati personali memorizzati senza debita autorizzazione. Così, come spiegato precedentemente, con il controllo d accesso si garantisce che persone esterne non autorizzate non possano entrare negli edifici della CPT, impedendo qualsiasi elaborazione dei dati per mezzo di persone esterne non autorizzate. Per impedire l elaborazione non autorizzata dei dati da parte di collaboratrici o collaboratori della CPT, la CPT limita o impedisce con provvedimenti tecnici l accesso a dati che alle collaboratrici o ai collaboratori non servono per assolvere i compiti loro assegnati ai sensi della LAMal (art. 84. LAMAL). Ulteriori spiegazioni concernenti le limitazioni d accesso sono raccolte nel capitolo 11 di questo regolamento. Inoltre, con vari regolamenti e direttive le collaboratrici e i collaboratori sono istruiti sulla corretta elaborazione dei dati. Ricevono le istruzioni adatte tramite i regolamenti Protezione dei dati Documento di base, Protezione dei dati Documento di realizzazione nonché con la Direttiva relativa alla conservazione di messaggi di posta elettronica, telefonate e uso dei sistemi IT 01.01.2012 CPT 10
Oltre a ciò, è possibile ripercorrere nel sistema le modifiche effettuate da parte delle collaboratrici e dei collaboratori (vedi capitolo 9.5). 9.2 Controllo del trasporto Basi legali Secondo l art. 9, cpv. 1, lett. c, OLPD, le persone non autorizzate non possono leggere, copiare, modificare o cancellare dati personali al momento della o del trasporto di supporti di dati. Realizzazione CPT Con appropriati provvedimenti tecnici la CPT garantisce che nel comunicare dati personali nonché durante il trasporto di supporti dati, nessuna persona non autorizzata possa leggere, copiare, modificare o cancellare i dati. Così per la trasmissione elettronica dei dati viene garantita la sicurezza dei dati con l uso della trasmissione SFTP oppure utilizzando linee affittate (IPSS) sicure. Per la trasmissione per posta elettronica di dati personali degni di particolare protezione e/o profili della personalità i dati vengono codificati. 9.3 Controllo della Basi legali Secondo l art. 9, cpv. 1, lett. d, OLPD, i destinatari ai quali vengono comunicati dati personali con l ausilio di impianti di trasmissione possono essere identificati. Realizzazione CPT La trasmissione dei dati avviene per SFTP / IPSS a indirizzi destinatari verificati. 9.4 Controllo dell utilizzazione Basi legali Secondo l art. 9, cpv. 1, lett. f, OLPD, le persone non autorizzate non possono utilizzare i sistemi di trattamento automatizzato di dati personali con l ausilio di impianti di trasmissione. Realizzazione CPT Per l accesso al Sistema di informazione KPT/CPT la CPT dispone di un infrastruttura di sicurezza a più livelli. Fra le altre cose, le collaboratrici autorizzate e i collaboratori autorizzati dispongono di un login per l uso del sistema. 01.01.2012 CPT 11
Con il firewall il sistema è protetto dall uso da parte di persone non autorizzate esterne alla CPT. La sicurezza viene controllata continuamente nell ambito dei provvedimenti di sicurezza IT. 9.5 Controllo dell introduzione (aggiornamento) Basi legali l art. 9, cpv. 1, lett. h, OLPD, deve essere possibile verificare a posteriori le persone che introducono dati personali nel sistema nonché i dati introdotti e il momento dell introduzione. L aggiornamento deve comunque essere effettuato solo se opportuno e necessario. Le collaboratrici e i collaboratori devono essere informati della protocollizzazione. Realizzazione CPT La CPT aggiorna le attività più importanti. Per controllare l osservanza delle regole d utilizzazione la CPT analizza il verbale d aggiornamento in maniera anonima. Se a seguito di un analisi anonima si riscontra un abuso, oppure se ne sorge un sospetto, l analisi delle registrazioni sarà collegata ai nominativi dell elenco della corrispondenza. In caso di abuso comprovato si adottano le rispettive sanzioni. Le collaboratrici e i collaboratori della CPT sono informati di questo modo di procedere. La protocollizzazione è stabilita nella Direttiva relativa alla conservazione dei messaggi di posta elettronica, telefonate e uso dei sistemi IT. 10. Descrizione dei campi di dati e delle unità organizzative che hanno accesso alla collezione dei dati (art. 21, cpv. 2, lett. e, OLPD) I diritti d accesso al Sistema di informazione KPT/CPT sono regolati da un sistema di controllo degli accessi basato sui ruoli. Il sistema di controllo degli accessi è specificato in un modulo per la richiesta dell autorizzazione d accesso. In una matrice d accesso è stabilito quali ruoli sono disponibili tramite quale tipo di accesso al Sistema di informazione KPT/CPT. 11. Modo ed estensione dell accesso degli utenti alla collezione dei dati (art. 21, cpv. 2, lett. f, OLPD) L accesso al Sistema di informazione KPT/CPT è concesso solo a quelle collaboratrici e a quei collaboratori che ne hanno effettivamente bisogno. Le collaboratrici e i collaboratori vengono assegnati a un profilo di utenti (confronta il precedente capitolo 10) e ricevono di seguito un autorizzazione d accesso che non può essere trasferita a terzi. In particolare si stabilisce anche se la collaboratrice o il collaboratore ha solo un autorizzazione d interrogazione oppure se è anche autorizzata/o a effettuare modifiche. Le collaboratrici e i collaboratori della CPT non hanno alcun accesso ai dati che giungono al servizio indipendente di ricezione dei dati e che questo elabora in maniera automatizzata. Quando il servizio di ricezione invia alla verifica delle fatture, le collaboratrici e i collaboratori 01.01.2012 CPT 12
addetti all esame del caso ricevono accesso alle fatture e ai relativi MCD fino a che il caso è completato. L accesso alle MCD viene interdetto con il completamento del caso. L unità organizzativa Personale + Formazione è responsabile che le collaboratrici e i collaboratori ricevano il profilo d utente adatto e fa richiesta per le rispettive autorizzazioni d accesso. Il responsabile delle applicazioni per il Sistema di informazione KPT/CPT esamina le richieste in quanto alla loro completezza e rilascia l autorizzazione d accesso. 12. Formazione degli utenti della collezione dei dati Gli utenti del Sistema d informazione KPT/CPT ricevono la formazione in vari modi in relazione al settore della legge sulla protezione dei dati nonché per la tecnica d applicazione. Così ogni nuova collaboratrice e ogni nuovo collaboratore che inizia la sua attività presso la CPT deve assolvere una formazione relativa alla protezione dei dati. È anche prevista una formazione per l uso del Sistema d informazione KPT/CPT. Inoltre, la CPT istruisce le collaboratrici e i collaboratori con un modulo di e-learning concernente settore Protezione dei dati. Gli utenti del Sistema d informazione KPT/CPT ricevono un supporto specifico in tutto il sistema per ogni campo sulla base di vari sussidi d applicazione, nonché nel settore della protezione dei dati con due regolamenti relativi alla protezione dei dati ( Protezione dei dati Documento di base, Protezione dei dati Documento di realizzazione) 13. Le procedure di trattamento dei dati, segnatamente le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati (art. 21, cpv. 2, lett. g, OLPD) Ogni modifica effettuata da una collaboratrice o da un collaboratore viene registrata tecnicamente (confronta il precedente capitolo 9.5). È costantemente riconoscibile sia lo stato precedente che quello attuale della mutazione per poter garantire la ricostruzione dell elaborazione dei dati. Il processo dell elaborazione dei dati, e in particolare l archiviazione nonché la distruzione di dati è documentato nei regolamenti Protezione dei dati Documento di base e Protezione dei dati Documento di realizzazione. 14. Configurazione dei mezzi informatici (art. 21, cpv. 2, lett. h, OLPD) Hardware e software utilizzati in accordo con i partner esterni della CPT corrispondono agli standard internazionali. Le documentazioni delle configurazioni dei mezzi informatici utilizzati per il Sistema d informazione KPT/CPT vengono conservati e se necessario aggiornati nel settore IT nonché presso i partner esterni della CPT. Per motivi di sicurezza dei sistemi, dei processi e dei dati non si tengono registri delle indicazioni della configurazione dei mezzi informatici in quanto ai componenti di sicurezza. 01.01.2012 CPT 13
15. Procedura di esercizio del diritto d accesso (art. 21, cpv. 2, lett. i, OLPD) Richieste di informazioni secondo l art. 8 OLPD devono essere sottoposte all incaricato aziendale della protezione dei dati: KPT Cassa malati SA Incaricato della protezione dei dati Casella postale 8624 CH-3001 Berna bdsb@kpt.ch Il processo interno per la gestione delle richieste di informazione è regolato nel documento Processo Diritto d informazione KPT Cassa malati SA. 16. Pubblicazione Secondo l art. 84b della LAMal questo regolamento e i suoi allegati saranno pubblicati nell Internet sul sito kpt.ch 17. Ulteriori documenti Di seguito sono menzionati gli ulteriori documenti ai quali fanno riferimento questo regolamento e i suoi allegati. Per ragioni di sicurezza dei sistemi, dei processi e dei dati, per la protezione della riservatezza degli assicurati nonché per la protezione dei segreti commerciali della CPT e dei suoi partner commerciali (esterni) questi documenti non sono resi accessibili dall esterno. Documentazione di processo Processi postali CPT Procedimento Pezze giustificative cartacee Criteri di smistamento Partner soluzioni postali Elaborazione sinistri Concetto di autorizzazione Elaborazione delle prestazioni Autorizzazioni Processi di documenti Elenco dei documenti Elaborazione dei sinistri Processo di assegnazione Processi Sinistri CPT Cassa malati Protezione dei dati Documento di base Protezione dei dati Documento di realizzazione Direttive Archiviazione di messaggi di posta elettronica Telefonia Uso dei sistemi informatici Processo Diritto a informazione KPT Cassa malati SA Documentazione concernente la pianificazione e la realizzazione nonché della configurazione del Sistema di informazione KPT/CPT Manuale delle prestazioni Concetto di sistema di autorizzazione d accesso a rotazione con matrice d accesso Procedimento Servizio di ricezione dei dati 01.01.2012 CPT 14